Защита информации в государственных информационных системах (ГИС)

К защите информации, содержащейся в ГИС и МИС, предъявляются законодательные требования, определяемые Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Приказом ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

 

Информация должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.

В целях выполнения требования законодательства мы разработали решение «Защита ГИС», учитывающее методические рекомендации ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах».

 

«Защита ГИС» представляет собой комплекс мероприятий для обеспечения защиты информации, обрабатываемых в ГИС и МИС, и состоит из следующих этапов:

 

1.    Аудит: определение перечня защищаемой информации и класса защищенности;

2. Определение условий обработки информации: разработка модели угроз безопасности информации и классификация;

3.    Формирование технического задания: выбор мер защиты информации, подготовка аналитического обоснования и проектирование подсистемы защиты информации;

 

В зависимости от выявленных угроз безопасности информации мы применяем следующие меры защиты:

  • Идентификация и аутентификация субъектов доступа к объектам доступа;

  • Управление доступом субъектов доступа к объектам доступа;

  • Регистрация событий безопасности;

  • Антивирусная защита;

  • Обнаружение вторжений;

  • Анализ защищенности информации;

  • Защита систем связи и передачи данных;

  • Защита среды виртуализации.

 

4. Техническое проектирование и внедрение проектных решений: поставка, установка и настройка сертифицированных средств защиты информации, в том числе систем обнаружения вторжений, средств защиты виртуальной среды и систем управления базами данных, разработка организационно-распорядительной и эксплуатационной документации, включая технические требования и регламенты по подключению к информационной системе удаленных пользователей;

5.     Аттестация: оценка соответствия по требованиям безопасности информации;

6.    Техническое сопровождение созданной системы защиты информации, включая администрирование защищенных сетей связи.

 

В случае, когда защищаемая ГИС или МИС содержит персональные данные, мероприятия по защите информации рассматриваются в комплексе.